动态与公告

产品动态

产品公告

新手指引

产品简介

产品概述

产品架构

产品优势

应用场景

地域和可用区

大版本生命周期说明

功能概览及差异

实例类型

实例规格

存储类型

常用概念

网络环境

许可声明

购买指南

计费概述

产品价格

购买方式

续费说明

欠费说明

退费说明

按量转包年包月

调整实例费用说明

本地备份空间收费说明

跨地域备份收费说明

查看账单明细

快速入门

创建 SQL Server 实例

连接 SQL Server 实例

管理 SQL Server 实例

操作指南

约束与限制

使用规范与建议

维护管理实例

调整实例配置

只读实例

网络管理

账号管理

数据库管理

数据安全

参数配置

监控与告警

备份与回档

日志管理

发布订阅

数据集成服务（SSIS）

数据迁移（新版）

数据迁移（旧版）

数据同步（DTS）

实践教程

云数据库 SQL Server 定期维护方法

云数据库 SQL Server 慢 SQL 优化

如何更好地使用 Tempdb

跨账号备份恢复

为云数据库 SQL Server 创建 VPC

金蝶K/3 WISE 接入云数据库 SQL Server

账号权限和权限控制

变更数据捕获功能的开启和关闭

收缩数据库

API 文档

History

Introduction

API Category

Making API Requests

Sales and fee related APIs

Instance Management related APIs

Operation and maintenance management related APIs

Network management related APIs

Account management related APIs

Database management related APIs

Security group management related APIs

Data security encryption related APIs

Parameter configuration related APIs

Extended Event related APIs

Log management related APIs

Read only instance management related APIs

Publish and subscribe related APIs

Backup related APIs

Rollback related APIs

Data migration (cold standby migration) related APIs

SQL Server Integration Services (SSIS) related APIs

Data migration (DTS old version) related APIs

Data Types

Error Codes

常见问题

常见问题概览

选购咨询

计费与选购

连接与网络

账号与权限

备份与回档

数据迁移

发布订阅

只读实例

版本架构升级

磁盘扩缩容与规格升降级

监控与告警

日志相关

参数修改

功能特性相关

性能空间内存相关

设置账号 CAM 验证

PDF

聚焦模式

字号

最后更新时间： 2025-01-06 12:46:26

本文为您介绍通过控制台设置账号 CAM 验证相关说明和操作。
说明：
如果您需要开启账号 CAM 验证，请您 提交工单 申请开白使用。
背景
在使用云数据库的场景中，通常需要为数据库创建独立的账号和密码，并授权给相应的用户进行访问和操作。这种方式的账户管理比较复杂，容易出现账号密码泄露等安全问题。基于以上背景，云数据库 SQL Server 支持为账号启用 CAM 验证功能，通过打通腾讯云平台子账号与数据库账号之间的关系以及增加 CAM 凭证的身份验证，简化账号权限管理的复杂度，提升数据库的安全性和账号管理效率。
操作场景
如果用户对安全性有较高要求，可以通过本功能将 CAM 与数据库账号验证相绑定，用户在请求时可获取对应的密码来访问数据库，以提升数据库的安全性。我们建议如下两种场景，启用 CAM 验证。
使用 CAM 身份验证作为临时、个人访问数据库的机制时。
仅对可以轻松重试的工作负载使用 CAM 身份验证。
注意事项
请尽可能使用长连接访问数据库。
启用 CAM 验证前需要提前配置好相关 CAM 权限规则。
启用 CAM 验证后不支持修改密码。
关闭 CAM 验证后将无法通过 CAM 获取访问凭证，因此在关闭 CAM 验证时需要输入一个新密码。
功能限制
单个实例内建议不超过10个账号开启 CAM 验证。
启用 CAM 验证后不支持对该账号进行重置密码操作。
仅支持单个主机地址的账户启用 CAM 验证功能。
相同账号名不支持重复启用 CAM 验证功能。
root 账号不支持启用 CAM 验证功能。
前提条件
已 创建 SQL Server 实例。
已 提交工单 申请使用此功能。
实例状态为运行中。
步骤1：配置 CAM 权限规则
在使用账号 CAM 验证功能之前，用户需要先配置相关的 CAM 权限规则。
策略内容
{
    "statement": [
        {
            "action": [
                "cam:BuildDataFlowAuthToken"
            ],
            "effect": "allow",
            "resource": [
                "qcs::cam::uin/<用户 uin>:resourceUser/<实例 ID>/<用户名>",
            ]
        }
    ],
    "version": "2.0"
}
<用户 uin>：替换为实际的账号 ID。
<实例 ID>：替换为实际需要授权的实例 ID。
<用户名>：替换为实际需要授权的用户名。
操作指引
1. 使用管理员账号登录访问管理控制台，在 策略 页面，按照策略生成器创建自定义策略（请参见 通过策略生成器创建自定义策略）。
﻿
效果：允许
服务：访问管理（cam）
操作：其他操作 - BuildDataFlowAuthToken
资源：特定资源 - 添加资源六段式
填写资源：<实例 ID>/<账号名>
2. 单击下一步，自定义策略的名称，并将策略授予目标子账号。
3. 单击完成，完成授权。
步骤2：启用 CAM 验证
启用 CAM 验证分为两种情形，分别是创建账号时启用 CAM 验证和为已有账号启用 CAM 验证，您可按照如下步骤分别操作。
情形1：创建账号时启用 CAM 验证
情形2：为已有账号启用 CAM 验证
1. 登录 SQL Server 控制台。
2. 在实例列表，单击实例 ID 或操作列的管理，进入实例管理页面。
3. 在实例管理页面，选择账号管理 > 创建账号，在弹出的对话框填写相关信息，确认无误后单击确定。
说明：
创建不同权限账号的操作介绍请参考 账号管理，以下仅介绍开启 CAM 验证相关的步骤。
启用 CAM 验证：打开“启用 CAM 验证”后的按钮，在弹窗下阅读重要提示后单击确定。
1. 登录 SQL Server 控制台。
2. 在实例列表，单击实例 ID 或操作列的管理，进入实例管理页面。
3. 在实例管理页面，选择账号管理。
4. 在账号管理页面，找到目标账号，在其操作列单击启用 CAM 验证。
5. 在弹窗下阅读重要提示后，单击确定。
步骤3：在应用程序通过代码调用获取密码
账号具备了相关 CAM 权限规格，并且启用了 CAM 验证后，用户可在应用程序通过 Java 等代码调用来获取密码，从而连接数据库实例。
1. 在腾讯云控制台，账号信息 页面，查询账号的 APPID。
﻿
2. 在 访问管理控制台 > API 密钥管理 获取 SecretID 和 SecretKey。
3. 在应用程序使用如下代码。
<dependency>
<groupId>com.tencentcloudapi</groupId>
<artifactId>tencentcloud-dbauth-sdk-java</artifactId>
<version>1.0.4</version>
</dependency>
间接依赖项：tencentcloud-sdk-java 3.1.1039版本及以上。
<dependency>
    <groupId>com.tencentcloudapi</groupId>
    <artifactId>tencentcloud-sdk-java</artifactId>
    <version>3.1.1039</version>
</dependency>
通过代码调用获取密码的示例
package com.tencentcloud.dbauth;
import com.tencentcloudapi.common.Credential;
import com.tencentcloud.dbauth.model.GenerateAuthenticationTokenRequest;
import com.tencentcloudapi.common.exception.TencentCloudSDKException;
import com.tencentcloudapi.common.profile.ClientProfile;
import com.tencentcloudapi.common.profile.HttpProfile;
﻿
public class GenerateDBAuthentication {
﻿
    public static void main(String[] args) {
        // 定义认证令牌的参数
        String region = "<实例所在地域>";
        String instanceId = "<实例 ID>";
        String userName = "<用户名>";
        // 从环境变量中获取凭证
        Credential credential = new Credential(System.getenv("<TENCENTCLOUD_SECRET_ID>"), System.getenv("<TENCENTCLOUD_SECRET_KEY>"));
﻿
        System.out.println(getAuthToken(region, instanceId, userName, credential));
    }
﻿
    public static String getAuthToken(String region, String instanceId, String userName, Credential credential) {
        try {
            // 实例化一个http选项，可选的，没有特殊需求可以跳过
            HttpProfile httpProfile = new HttpProfile();
            httpProfile.setEndpoint("cam.tencentcloudapi.com");
            // 实例化一个client选项，可选的，没有特殊需求可以跳过
            ClientProfile clientProfile = new ClientProfile();
            clientProfile.setHttpProfile(httpProfile);
﻿
            // 构建 GenerateAuthenticationTokenRequest
            GenerateAuthenticationTokenRequest tokenRequest = GenerateAuthenticationTokenRequest.builder()
                    .region(region)
                    .credential(credential)
                    .userName(userName)
                    .instanceId(instanceId)
                    .clientProfile(clientProfile) // clientProfile是可选的
                    .build();
﻿
            return DBAuthentication.generateAuthenticationToken(tokenRequest);
﻿
        } catch (TencentCloudSDKException e) {
            e.printStackTrace();
        }
        return "";
    }
}
<实例所在地域>：替换为您需要访问的实例所在地域，示例：ap-guangzhou。
<实例 ID>：替换为需要访问的实例 ID。
<用户名>：替换为实际登录的用户名。
<TENCENTCLOUD_SECRET_ID>：替换为从访问管理控制台获取到的 SecretID。
<TENCENTCLOUD_SECRET_KEY>：替换为从访问管理控制台获取到的 SecretKey。
步骤4：使用身份令牌连接云数据库 SQL Server
说明：
使用 JDBC 驱动程序连接是 Java 程序连接到关系型数据库的标准方式，详细 JDBC 驱动程序的安装以及连接方法，可参见 Using the JDBC driver。
在 步骤3 中获取到身份令牌 AuthToken 后，即可使用身份令牌连接云数据库 SQL Server，以下连接命令为使用 JDBC 连接数据库的场景示例。
String connectionUrl = "jdbc:sqlserver://localhost:1433;databaseName=<数据库名>;user=<用户名>;password=<密码>;encrypt=false;";  
Connection con = DriverManager.getConnection(connectionUrl);
<数据库名>：替换为您实际需要访问的数据库名称。
<用户名>：替换为您实际登录的用户名。
<密码>：替换为 步骤3 中获取到的 AuthToken。
附录1：刷新密码
当账号启用 CAM 验证功能后，可以通过刷新密码操作来更新密码。如果该账号设置的轮转周期为12小时更换一次密码，则在未到达轮转周期之前，可以通过刷新密码操作来立即更新密码。
注意：
注意刷新密码后，当前登录凭证会失效，需要观察业务访问数据库状态是否符合预期。
1. 登录 SQL Server 控制台。
2. 在实例列表，单击实例 ID 或操作列的管理，进入实例管理页面。
3. 在实例管理页面，选择账号管理。
4. 在账号管理页面，找到目标账号，在其操作列单击刷新密码。
5. 在弹窗下阅读风险提示后，单击确定。
附录2：关闭 CAM 验证
注意：
关闭 CAM 验证后无法通过 CAM 获取访问凭证，请及时更新密码。
1. 登录 SQL Server 控制台。
2. 在实例列表，单击实例 ID 或操作列的管理，进入实例管理页面。
3. 在实例管理页面，选择账号管理。
4. 在账号管理页面，找到目标账号，在其操作列单击关闭 CAM 验证。
5. 在弹窗下输入新密码并确认密码后单击确定。
附录3：错误码
如果返回结果中存在 Error 字段，则表示调用 API 接口失败。有关错误码的说明，请参见 错误码。
云数据库 SQL Server 账号 CAM 验证功能相关的错误码如下：
公共错误码
错误码
说明
AuthFailure.InvalidAuthorization
请求头部的 Authorization 不符合腾讯云标准。
AuthFailure.InvalidSecretId
密钥非法（不是云 API 密钥类型）。
AuthFailure.MFAFailure
﻿MFA 错误。
AuthFailure.SecretIdNotFound
密钥不存在。请在 控制台 检查密钥是否已被删除或者禁用，如状态正常，请检查密钥是否填写正确，注意前后不得有空格。
AuthFailure.SignatureExpire
签名过期。Timestamp 和服务器时间相差不得超过五分钟，请检查本地时间是否和标准时间同步。
AuthFailure.SignatureFailure
签名错误。签名计算错误，请对照调用方式中的签名方法文档检查签名计算过程。
AuthFailure.TokenFailure
token 错误。
AuthFailure.UnauthorizedOperation
请求未授权。请参考 CAM 文档对鉴权的说明。
业务错误码
错误码
说明
FailedOperation.BuildAuthToken
生成 AuthToken 异常。
FailedOperation.FlowAuthIllegal
凭据操作失败。
附录4：通过 Python 连接数据库
1. 在腾讯云控制台，账号信息 页面，查询账号的 APPID。
﻿
2. 在 访问管理控制台 > API 密钥管理 获取 SecretID 和 SecretKey。
3. 通过 pip 安装方式将腾讯云数据库 CAM Python SDK 安装到您的项目中。请在命令行中执行以下命令：
  pip install git+https://github.com/TencentCloud/dbauth-sdk-python.git
请注意，如果同时有 python2 和 python3 环境，python3 环境需要使用 pip3 命令安装。
间接依赖项：tencentcloud-sdk-python 3.0.1224版本及以上。
使用 Python 连接数据库示例
import logging
import os
import time
﻿
import pymssql
from dbauth.db_authentication import DBAuthentication
from dbauth.model.generate_authentication_token_request import GenerateAuthenticationTokenRequest
from tencentcloud.common import credential
from tencentcloud.common.exception.tencent_cloud_sdk_exception import TencentCloudSDKException
from tencentcloud.common.profile.client_profile import ClientProfile
from tencentcloud.common.profile.http_profile import HttpProfile
﻿
# 配置root logger
logging.basicConfig(
    level=logging.INFO,
    format='[%(asctime)s] - [%(threadName)s] - {%(module)s:%(funcName)s:%(lineno)d} %(levelname)s - %(message)s',
    datefmt='%Y-%m-%d %H:%M:%S'
)
log = logging.getLogger(__name__)
﻿
﻿
def main():
    region = "ap-guangzhou"
    instance_id = "mssql-123456"
    user_name = "camtest"
    host = "gz-mssql-123456.sql.tencentcdb.com"
    port = 24398
    db_name = "test"
    secret_id = os.environ['AK']
    secret_key = os.environ['SK']
﻿
    connection = None
    try:
        # 获取连接
        connection = get_db_connection_using_cam(secret_id, secret_key, region,
                                                 instance_id, user_name, host, port, db_name)
﻿
        # 验证连接是否成功
        with connection.cursor() as cursor:
            cursor.execute("SELECT 'Success!';")
            result = cursor.fetchone()
            log.info(result[0])  # 应该打印 "Success!"
    except Exception as e:
        log.error(f"An error occurred: {e}")
    finally:
        if connection:
            connection.close()
﻿
﻿
def get_db_connection_using_cam(secret_id, secret_key, region, instance_id, user_name, host, port, db_name):
    cred = credential.Credential(secret_id, secret_key)
﻿
    max_attempts = 3
    last_exception = None
    for attempt in range(1, max_attempts + 1):
        try:
            auth_token = get_auth_token(region, instance_id, user_name, cred)
﻿
            connection = pymssql.connect(
                host=host,
                port=port,
                user=user_name,
                password=auth_token,
                database=db_name
            )
            return connection
        except Exception as e:
            last_exception = e
            log.info(f"Attempt {attempt} failed.")
            time.sleep(5)
﻿
    log.error(f"All attempts failed. error: {last_exception}")
    raise last_exception
﻿
﻿
def get_auth_token(region, instance_id, user_name, cred):
    try:
        # 实例化一个 http 选项，可选的，没有特殊需求可以跳过
        http_profile = HttpProfile()
        http_profile.endpoint = "cam.tencentcloudapi.com"
﻿
        # 实例化一个 client 选项，可选的，没有特殊需求可以跳过
        client_profile = ClientProfile()
        client_profile.httpProfile = http_profile
﻿
        request = GenerateAuthenticationTokenRequest(
            region=region,
            instance_id=instance_id,
            user_name=user_name,
            credential=cred,
            client_profile=client_profile,  # 可选
        )
        return DBAuthentication.generate_authentication_token(request)
    except TencentCloudSDKException as err:
        log.error(err)
        raise
﻿
﻿
if __name__ == "__main__":
    main()

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

错误码	说明
AuthFailure.InvalidAuthorization	请求头部的 Authorization 不符合腾讯云标准。
AuthFailure.InvalidSecretId	密钥非法（不是云 API 密钥类型）。
AuthFailure.MFAFailure	MFA 错误。
AuthFailure.SecretIdNotFound	密钥不存在。请在控制台检查密钥是否已被删除或者禁用，如状态正常，请检查密钥是否填写正确，注意前后不得有空格。
AuthFailure.SignatureExpire	签名过期。Timestamp 和服务器时间相差不得超过五分钟，请检查本地时间是否和标准时间同步。
AuthFailure.SignatureFailure	签名错误。签名计算错误，请对照调用方式中的签名方法文档检查签名计算过程。
AuthFailure.TokenFailure	token 错误。
AuthFailure.UnauthorizedOperation	请求未授权。请参考 CAM 文档对鉴权的说明。

错误码	说明
FailedOperation.BuildAuthToken	生成 AuthToken 异常。
FailedOperation.FlowAuthIllegal	凭据操作失败。

tencent cloud

云数据库 SQL Server

设置账号 CAM 验证

背景

操作场景

注意事项

功能限制

前提条件

步骤1：配置 CAM 权限规则

策略内容

操作指引

步骤2：启用 CAM 验证

步骤3：在应用程序通过代码调用获取密码

步骤4：使用身份令牌连接云数据库 SQL Server

附录1：刷新密码

附录2：关闭 CAM 验证

附录3：错误码

公共错误码

业务错误码

附录4：通过 Python 连接数据库

使用 Python 连接数据库示例

帮助和支持